Na obzoru se objevují nové hrozby, třeste se! – 7. díl

V rámci APT útoků se využívá pokročilý malware, který může být začleněn do jakékoliv aplikace a navenek tato aplikace může perfektně plnit účel, pro který si ji uživatel sám stáhl a nainstaloval.

Možná, že i vy máte takovou aplikaci nainstalovánu na svém počítači nebo telefonu a jen o tom, že se ve skutečnosti jedná o trojského koně, nevíte, a nemusíte na to ani nikdy přijít. Jednoduše proto, že se tento trojan nemusí vůbec projevit.

Obdobně se ostatně choval i nedávný trojan v aktualizační službě Asus Live Update, kdy aktualizace stahovaná ze serveru Asusu byla opatřena validním certifikátem a trojan se pak projevoval jen na zařízení s konkrétní MAC adresou.

Způsob šíření tohoto trojana je jak plošný, kdy útočník jednoduše využívá aktuální vlny zájmu o určitou aplikaci nebo službu, tak i cílený, kdy je útok veden na konkrétní osobu nebo organizaci, případně na jinou organizaci v dodavatelsko-odběratelském řetězci.

Trojan má obrovský potenciál se rozšířit na obrovské množství zařízení. A jelikož se nijak neprojevuje a spustí se jen při splněných určitých velice specifických podmínek, tak je velice obtížné jej vůbec detekovat.

Vlastní kód je samozřejmě silně obfuskován a šifrován, ale ne nutně. A je naprogramován tak, aby si nejprve ověřil, že není analyzován, což také není nic až tak nového. Při plošném útoku se běžně se kontroluje velikost paměti, výkon procesoru, počet jader, přítomnost virtualizačních technologií nebo přidělená IP adresa.

Nově se také ověřuje seznam Wi-Fi sítí, ke kterým se zařízení v minulosti již připojilo, a dále zda dochází k chaotickým pohybům myši a psaní na klávesnici, jsou dostupné známé weby a služby, nachází se na něm nějaké soubory v recent files, oblíbených položkách, na ploše, dochází k surfování po internetu apod., protože k tomuto chování v sandboxech a honeypotech zpravidla nikdy nedochází.

Při cíleném útoku si pak malware kromě výše uvedeného i ověřuje, že se nachází na tom správném stroji, a že u něj sedí ten správný uživatel, rozuměj, ten, na kterého má být veden kybernetický útok. Malware využívá pokročilých možností rozpoznávání hlasu, obličeje a dalších biometrických charakteristik uživatele, podle kterých jej lze celkem spolehlivě identifikovat.

Teprve poté, co proběhne pozitivní identifikace oběti, se začne dít něco alespoň trochu zajímavého. Malware kontaktuje C&C server a vyžádá si další instrukce anebo rovnou předá data, která byla cílem samotného útoku. Nástroje na detekci anomálií se vůbec nechytají, protože C&C server se nachází na webech, které uživatel běžně navštěvuje, a které již byly kompromitovány a jsou plně pod správou útočníka a jejichž obsah je navíc dynamicky generován během sezení.

Tam, kde kompromitace webu není vzhledem k vysoké úrovni zabezpečení možná, je využito cílené behaviorální reklamy anebo možnosti vkládat na web vlastní obsah. V poslední době je s oblibou využíváno cloudových služeb od Googlu, Amazonu nebo Microsoftu, které jsou ve většině organizací povoleny a komunikace s nimi tak nevyvolává žádné podezření.

To zda jsou data šifrována či nikoliv nehraje v podstatě vůbec žádnou roli. Útočník počítá s hloubkovou inspekcí paketů, takže je použita pokročilá lingvistická steganografie, jak jinak. Samotné příkazy se tak nacházejí v naprosto běžném textu, které však bez znalosti šifrovací mřížky není možné přečíst, což ale není pro pravidelné čtenáře tohoto seriálu rovněž žádným překvapením.

Bezpečnostní nástroje provádějící analýzu webových stránek nemají šanci nic zjistit, protože každému uživateli je ve výsledku předložen trochu jiný obsah, ať už viditelný nebo skrytý. Dochází zde rovněž k dynamickému generování kódu a jeho obfuskaci, kterou se autoři webů běžně brání proti vykrádání obsahu, skriptů a designu.

Na mobilní platformě pak dochází k útoku prostřednictvím jiných již nainstalovaných aplikací, tzv. man-in-the-disk attack. Nejedná se však jen o specifikum systému Android, což uživatelé Windows také vědí již dávno.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Na obzoru se objevují nové hrozby, třeste se! – 7. díl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: